一、概述
CentOS 搭建openVPN时需要一台有公网IP的服务器。openVPN 是一个基于SSL/TLS的虚拟专用网络(VPN),它允许你创建一个安全的连接,通过它你可以将你的网络流量封装并加密,从而在公网上进行传输。
一、搭建证书环境
二、OpenVPN服务端部署
三、OpenVPN客户端安装部署
二、搭建证书环境
注意:如果采用虚拟机桥接方式搭建,不适用,net模式正常使用
1、添加epel yum源
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
2、下载证书生成工具easy-rsa
yum -y install easy-rsa
3、创建证书环境目录
mkdir -p /opt/easy-rsa
cp -a /usr/share/easy-rsa/3.0.8/* /opt/easy-rsa/
cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example /opt/easy-rsa/vars
4、修改vars配置文件,取消下面配置的注释
vi /opt/easy-rsa/vars
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "GuangDong"
set_var EASYRSA_REQ_CITY "GuangZhou"
set_var EASYRSA_REQ_ORG "IT"
set_var EASYRSA_REQ_EMAIL "IT@qq.com"
set_var EASYRSA_NS_SUPPORT "yes"
5、初始化,创建pki目录用于存储证书(以下都在/opt/easy-rsa目录下操作)
cd /opt/easy-rsa/
./easyrsa init-pki
6、创建根证书,根证书用于ca对之后生成的server和client证书签名时使用
./easyrsa build-ca
7、创建server端证书和密钥文件(nopass表示不加密密钥文件,生成过程中直接默认回车)
./easyrsa gen-req server nopass
8、给server端证书签名
./easyrsa sign server server
9、创建Diffie-Hellman文件,密钥交换时的Diffie-Hellman算法
./easyrsa gen-dh
10、创建client端证书和密钥文件(nopass表示不加密密钥文件,生成过程中直接默认回车)
./easyrsa gen-req client nopass
交互界面默认回车
11、给client端证书签名
./easyrsa sign client client
二、OpenVPN服务端部署